fbpx
close

JWT là gì? Toàn tập về JWT từ cơ bản đến chi tiết

Tác giả: TinoHost Ngày cập nhật: 10/10/2021 Chuyên mục: Webmasters
Disclosure
Website Wiki.tino.org được cung cấp bởi Tino Group. Truy cập và sử dụng website đồng nghĩa với việc bạn đồng ý với các điều khoản và điều kiện trong chính sách bảo mật - điều khoản sử dụng nội dung. Wiki.tino.org có thể thay đổi điều khoản sử dụng bất cứ lúc nào. Việc bạn tiếp tục sử dụng Wiki.tino.org sau khi thay đổi có nghĩa là bạn chấp nhận những thay đổi đó.
Why Trust Us
Các bài viết với hàm lượng tri thức cao tại wiki.tino.org được tạo ra bởi các chuyên viên Marketing vững chuyên môn và được kiểm duyệt nghiêm túc theo chính sách biên tập bởi đội ngũ biên tập viên dày dặn kinh nghiệm. Mọi nỗ lực của chúng tôi đều hướng đến mong muốn mang đến cho cộng đồng nguồn thông tin chất lượng, chính xác, khách quan, đồng thời tuân thủ các tiêu chuẩn cao nhất trong báo cáo và xuất bản.

Tăng độ bảo mật cho trang web, ứng dụng hay bất cứ một dịch vụ công nghệ thông tin nào cũng là ưu tiên hàng đầu của các nhà phát triển. Trong thời gian gần đây, JWT nổi lên như một hình thức bảo mật tốt – miễn phí ở mức “đỉnh của đỉnh” dành cho các nhà phát triển. Vậy, JWT là gì? Cấu tạo của JWT ra sao? Vì sao và khi nào nên sử dụng JWT?

Tìm hiểu về JWT

JWT là gì?

JWT là viết tắt của JSON Web Tokens – một tiêu chuẩn mở RFC 7519, được sử dụng như một phương tiện đại diện nhỏ gọn, để truyền đạt thông tin giữa server và client thông qua một chuỗi JSON.

Thông tin được truyền đi thông qua JWT sẽ được bảo mật và gia tăng độ tin tưởng nhờ vào chữ ký điện tử. Chữ ký điện tử sử dụng các khóa công khai/ riêng tư sử dụng RSA, ECDSA với thuật toán HMAC.

Nhà phát triển của JWT tuyên bố rằng, họ tập trung vào các signed token, các signed token này có thể xác minh tính toàn vẹn của quyền sở sở hữu của bản thân và bảo mật token khỏi các bên khác. Khi signed token sử dụng cặp khóa công khai/ riêng tư, đồng nghĩa với việc bên nắm giữ cả 2 khóa là bên đã đăng ký signed token.

Bạn có thể tham khảo thêm thông tin về JSON Web Tokens tại trang web chính thức: JWT.io.

jwt-la-gi

3 thành phần của JWT

Một JWT tiêu chuẩn nhỏ gọn sẽ bao gồm 3 thành phần chính được phân tách với nhau bởi dấu chấm ( . ). Chúng là:

  • Header
  • Payload
  • Signature

Một cách đơn giản, JWT sẽ có dạng như sau: xxxxx.yyyyy.zzzz.

Để hiểu hơn về JWT, chúng ta sẽ tìm hiểu chi tiết từng thành phần của JWT nhé!

jwt-la-gi

Header của JWT

Header của JWT sẽ bao gồm 2 thành phần chính:

  • Thuật toán mã hóa được sử dụng. Ví dụ như: HS256, HS384, HS512, PS256, PS384, PS512, RS256, RS384, RS512, ES256, ES256K, ES384, ES512 và EdDSA.
  • Thành phần thứ 2 là JWT.

Ví dụ như sau:

{
"alg": "HS256",
"typ": "JWT"
}

Trong đó, bạn có thể thấy thuật toán mã hoá ở đây là HS256.

Payload của JWT

Payload là thành phần thứ 2 trong JWT chứa các thông tin về quyền sở hữu một thực thể và các dữ liệu bổ sung. Trong đó, có 3 loại bảo mật xác thực bao gồm: registered, public và private claims.

Ví dụ như:

{
"alg": "HS256",
"typ": "JWT"
}

Signature của JWT

Thành phần cuối cùng, cũng là 1 trong 3 thành phần quan trọng nhất của JWT: Signature – chữ ký. Để tạo được một chữ ký, bán sẽ cần phải mã hoá header, payload, mã khóa bí mật secret thuật toán sử dụng để mã hóa header và chữ ký đó.

Ví dụ:

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)

Signature được sử dụng để xác minh rằng tin nhắn được gửi đến không bị thay đổi. Với trường hợp người dùng sử dụng dùng private key cho tokens signed, Signature cũng có thể xác nhận rằng người gửi là người tạo JWT.

Phối hợp tất cả lại với nhau, ta sẽ có:

Kết quả đầu ra sẽ là dạng chuỗi trên tiêu chuẩn Base64-URL có thể dễ dàng truyền đi qua HTML và môi trường HTTP so với tiêu chuẩn XML trên SAML.

Sau khi mã hoá, chúng ta sẽ có một chuỗi JWT như ở bên trái màn hình và bên phải sẽ là phần được giải mã.

jwt-la-gi

JSON Web Tokens được dùng để làm gì?

Khi nào nên sử dụng JWT?

Trong thực tế, JWT có thể ứng dụng trong rất nhiều hoạt động khác nhau. Hai trường hợp điển hình có thể sử dụng JWT là:

  • Uỷ quyền – Authorization
  • Truyền đạt và bảo vệ toàn vẹn thông tin – Information Exchange

Uỷ quyền – Authorization

Đây là trường hợp điển hình nhất để bạn có thể áp dụng JWT vào đấy!

Khi người dùng đăng nhập thành công bằng thông tin của họ, ứng dụng có thể yêu cầu truy cập vào các tài nguyên, dịch vụ,…. Mỗi lần thực hiện, chúng sẽ phải cung cấp 1 Access Token dạng JWT. Lúc này, hình thức đăng nhập 1 lần SSO của bạn sẽ cần đến JWT bởi vì JWT có chi phí định dạng nhỏ và có thể sử dụng cùng lúc trên nhiều tên miền.

Truyền đạt và bảo vệ toàn vẹn thông tin – Information Exchange

JWT là một phương án tối ưu để truyền đạt và bảo vệ sự toàn vẹn của thông tin là vì:

  • JWT sử dụng cặp khóa công khai/ riêng tư – bạn có thể kiểm tra, đối chứng rằng người gửi đúng như những gì họ nói.
  • Signature được tính toán bằng cách sử dụng header và payload. Vì vậy, bạn cũng có thể xác thực được rằng nội dung không bị giả mạo.

JWT mang lại lợi ích gì?

Nhỏ gọn hơn

JWT ngắn gọn hơn XML. Vì thế, khi mã hóa, token JWT cũng sẽ ngắn hơn SAML. Điều này khiến JWT trở thành một lựa chọn phù hợp hơn trong HTML và môi trường HTTP.

jwt-la-gi

An toàn hơn

JWT sử dụng cặp khóa công khai/ riêng tư dưới dạng chứng chỉ X.509 để ký; JWT cũng có thể được ký đối xứng bằng một mã bí mật được chia sẻ sử dụng thuật toán HMAC.

SAML có thể sử dụng các cặp khóa công khai/ riêng tư như JWT. Tuy nhiên, chữ ký số bằng XML lại có nhiều lỗ hổng bảo mật rất, phương pháp thực hiện khó khăn hơn JWT rất nhiều.

Phổ biến hơn

Bộ phân tích cú pháp JSON phổ biến hơn trong hầu hết các ngôn ngữ lập trình, vì chúng ánh xạ trực tiếp đến các đối tượng. Ngược lại, XML không có ánh xạ tài liệu một cách tự nhiên.

Điều này dẫn đến việc bạn có thể dễ dàng làm việc với JWT hơn so với các xác nhận SAML.

Dễ sử xử lý hơn

JWT được sử dụng ở quy mô internet. Vì thế, JWT dễ dàng để xử lý trên hầu hết các thiết bị của người dùng, đặc biệt là các thiết bị di động.

JWT hoạt động ra sao?

Để hiểu hơn về cách JWT hoạt động, chúng ta sẽ lấy ví dụ cụ thể ở đây là việc xác thực – Authentication.

Khi người dùng thông tin tài khoản vào trình duyệt, trình duyệt sẽ tự động POST tài khoản và mật khẩu của người dùng về server. Lúc này, server xác thực và trả một chuỗi JWT về cho trình duyệt. Token JWT sẽ được lưu trữ trong cookies hoặc LocalStorage, thay vì tạo session trên server và trả về cookies.

Để rõ hơn về quá trình thực hiện, bạn có thể xem ảnh nhé!

jwt-la-gi

Đến đây, chúng ta đã đi qua một hành trình dài để tìm hiểu về JSON Web Tokens – JWT là gì, cũng như những lợi ích mà JWT đem lại cho người sử dụng. Hi vọng rằng, những thông tin, kiến thức này sẽ hỗ trợ bạn trong việc gia tăng bảo mật cho website, ứng dụng của mình!

Bài viết có tham khảo từ: Introduction to JSON Web Tokens, JSON Web Tokens – Auth0.

Những câu hỏi thường gặp về JWT

Thư viện để xác thực cho JWT ở đâu?

Nếu đang tìm danh sách các thư viện cho JWT nhằm phục vụ cho công việc của mình, bạn có thể truy cập vào Libraries for Token Signing/Verification để tìm cho mình thư viện phù hợp từ: .NET, Python, Node.js, Java, JavaScript, Perl, Ruby,.. cho đến Go, Erlang, Haskell,…

Làm sao để được hỗ trợ khi sử dụng JWT?

Nếu bạn muốn được hỗ trợ khi sử dụng JWT, cách tốt nhất là bạn tham gia vào các cộng đồng hỗ trợ JWT miễn phí như trên Facebook, Reddit,… hoặc Auth0 Community “chính chủ” của JWT.

Cách tạo quyền cho tổ chức truy cập vào token ra sao?

Để có thể tạo quyền truy cập token cho toàn bộ tổ chức, bạn có thể tạo quyền liên kết với một API cụ thể.

Sau đó, bạn chuyển đổi mã nhận dạng API của API đó làm thông số cho đối tượng khi tạo yêu cầu đến token. Khi đó, người dùng sẽ được cấp quyền tương ứng với các API đó.

Làm sao để tìm hiểu thêm về JWT?

Nếu muốn tìm hiểu thêm về JWT, bạn có thể tìm hiểu tại JSON Web Tokens Auth0 Documation. Không chỉ những kiến thức cơ bản về JWT, bạn còn có thể học cách để tạo xác thực, uỷ quyền, bảo mật và thậm chí là xây dựng một ứng dụng với bộ tài liệu chi tiết, vô cùng đầy đủ của Auth0.

Chia sẻ một chút thông tin về bạn. Những thông tin này có thể được công khai.

Xem thêm bài viết

Bài viết liên quan

Mục lục

Xem nhiều

giá tốt, chất lượng cao mình rất hài lòng
chất lượng dịch vụ tốt lắm...á
chất lượng dịch vụ rất tốt.
giá tốt, chất lượng cao mình rất hài lòng
Dịch vụ chăm sóc khách hàng tốt
Dùng rất oke nha mọi người
Dịch vụ chăm sóc khách hàng tốt, mình rất hài lòng về dịch vụ của TINOHOST
Đã mua rất nhiều tên miền tại Tinohost. Chất lượng tốt
dịch vụ và chăm sóc khách hàng rất tốt , mình rất thích tinohost , mình đã sử dụng nhiều dịch vụ của tinohost rồi
tuyệt vời chăm sóc khách hàng quá tốt
dịch vụ và chăm sóc khách hàng rất tốt , mình rất thích tinohost , mình đã sử dụng nhiều dịch vụ của tinohost rồi
Quá tốt - Quá xuất sắc và tuyệt
Hỗ trợ nhiệt tình. dịch vụ chất lượng
Đội ngũ support rất nhiệt tình.
Sử dụng dịch vụ của bạn Tinohost 2 3 năm nay chưa khi nào phải thất vọng.
host dùng chất lượng, miền giá rẻ
dịch vụ hỗ trợ rất nhanh, tốc độ hosting tốt
Hộ trợ tốt, nhanh. Tuyệt vời 🥰
tuyệt vời, dịch vụ cực tốt và hỗ trợ siêu nhanh
Làm việc nhanh chóng, giá thành hợp lí.
Hosting rẻ và nhanh thích hợp cho học sinh sinh viên như mình
dịch vu tốt ! Sẽ sử dụng thưởng xuyên !
Mỗi lần cần gì, nhắn Tino là được hỗ trợ ngay. Nên một đứa không biết gì về web như mình cũng tạo được blog. Cơ bản mình chỉ lo viết, mọi thứ có anh IT của Tino lo hết.
Nhìn chung thì Tino xứng đáng là một trong những nhà cung cấp host giá rẻ #1 tại VN. Bên này support khá nhanh và nhiệt tình nên quá trình sử dụng diễn ra tương đối trơn tru.
Chất lượng quá ok so với mức giá. Các SME có thể tham khảo để dựng web nhé.
uy tín chất lượng chuẩn cho 5 sao
Dịch vụ nhanh chóng thanh toán tiện lợi
Dịch vụ nhanh chóng, giá cả hợp lý
Chất lượng phục vụ ok, support khá nhanh chóng và chất lượng gói lớn tốt, gói nhỏ cần tốt hơn.
Dịch vụ tốt, giá cả hợp lý👍
Rất hay, rất tốt, rất hữu ích
Hỗ trợ rất nhanh và nhiệt tình
Chất lượng phục vụ ok, support khá nhanh chóng và chất lượng gói lớn tốt, gói nhỏ cần tốt hơn.
dịch vụ tốt, thanh toán nhanh chống
Hài lòng dịch vụ của tinohost
Sau khi sử dụng dịch vụ của TinoHost. Mình thấy website load nhanh hơn hẳn so với sử dụng ở nhà cung cấp cũ. Giá cả do mình đc mua với giá sale 99% của TinoHost nên rất là rẻ. Gói mình mua là gòi Hosting Bussiness 20GB. Thông số cấu hình cao nên web load khá mượt
Chúc TinoHost phát triển!
domain rẻ, có nhiều gói hữu ích thích hợp cho sinh viên
Hài lòng về dịch vụ và tư vấn
Dịch vụ tốt . Support nhiệt tình
Chất lượng OK
Nhanh chóng
dịch vụ rất tốt
Nhân viên support nhanh, hỗ trợ nhiệt tình, giao dịch tự động nên khá tiện
Đã dùng nhiều dịch vụ tại Tinohost, chất lượng tốt, rất hài lòng ...😀
Sự dụng rất hài lòng với các dịch vụ của tinohost
Dịch vụ tốt, uy tín chất lượng
Tino dịch vụ quá tuyệt vời
Giá rẻ, dịch vụ tốt, hỗ trợ nhanh chóng
dịch vụ rất tốt rất tuyệt vời
Giá hợp lý cho người mới dùng
Mình thấy Tinohost có giao diện thân thiện, dễ đăng ký sử dụng cho người mới tập tành làm web như mình. Hosting hỗ trợ có nhiều lựa chọn về dung lượng và giá cả! Thanh toán qua momo thuận tiện. Recommended!
wed quá ok làm việc nhanh ngọn
Dịch vụ tốt. Khá hài lòng vì support nhiệt tình
Dịch vụ quá tuyệt vời danh cho các bạn
Xin cảm ơn đội ngủ kỹ thuật. Các bạn rất chuyên nghiệp và thân thiện. Tôi sẽ giới thiệu các bạn cho bạn bè của mình.
Dịch vụ hỗ trợ tốt, ổn định, thanh toán dễ dàng.
Mình từng dùng VPS bên Vietel IDC, hay gặp lỗi vặt và bảo trì liên tục. Nhưng Tino thì rất ok
dùng tốt, nhanh, dễ sử dụng
Giao diện đẹp mắt, dễ sử dụng
Đề nghị xem lại vấn đề phục vụ khách hàng (livchat)!
Good. Tốc độ cao. Tùy chỉnh nhiều trên shared hosting.
hosting ngon, giá luôn rẻ, tôi làm code nhưng rất thích sài host tino
Tino cung cấp host rất chuyên nghiệp. Đội ngũ kỹ thuật hỗ trợ rất tận tâm và nhiệt tình. Mình sẽ tiếp tục ủng hộ Tino 🥰.
Rất tuyệt vời🙆🙆🙆🙆🙆🙆🙆🙆🙆
Xét về tầm giá thì TinoHost rất đáng để mua và sử dụng lâu dài.
Dịch vụ chất lượng, ủng hộ 1 năm nay rồi
tuyệt vời quá đi,tuyệt vời quá đi
Tốc độ ổn định, tư vấn nhiệt tình
mới tham gia, mong mọi người hỗ trợ thêm
Tốc độ khá tốt với gói rẻ nhất 9k
Giao dịch nhanh,support nhanh và tận tình,chuyển miền nhanh,Hosting Ok
mua sản phẩm dịch vụ tinhot rất tốt tặng ad 5tr ** luon nè🥰🥰🥰
tinohost
một truong những nơi bán hosting rẻ, chất lượng dành cho anh em nào cần để làm web
mua tại : tinohost.com
mình đã mua 2 tên miền + hosting của Tino Host . quả nhiên hiệu quả SEO cải thiện đáng kể và chứng chỉ bảo mật HTTPS miễn phí của Tino Host cũng ko kém phần quang trọng cho việc SEO website của mình
Tino host là một trong nhà cung cấp tốt nhất mình từng sử dụng. Với ưu đãi khuyến mại nhiều, giá thành rẻ kèm theo đó là sự support tuyệt vời của các admin. Nếu ai chưa lựa chọn được nhà cung cấp cho bản thân mình thì Tinohost sẽ là câu trả lời tốt nhất.
dịch vụ tốt, đội ngũ support nhiệt tình, cảm ơn #tinohost
Uy tín, chất lượng, nhân viên hỗ trợ nhiệt tình
mua 2 domain tại tinohost dùng rất chất lượng
Đã mua 02 domain và hosting tại TinoHost, hài lòng cách tư vấn và chăm sóc khách hàng của TinoHost :)
Giá rẻ cấu hình mạnh, black friday là sự bùng nổ của Tino
Hay web bán tài nguyên rất ngon
dịch vụ tốt, mua luôn host chất lượng cao của công ty nhân dịp blackfriday, cảm ơn #tinohost
Dịch vụ rất tốt, nhân viên tận tình.
Hỗ trợ nhiệt tình nhất trong các nhà cung cấp mih từng dùng. Không những server mạnh, ưu đãi có 1 không 2 mà còn nhiều plugin pro bản quyền đính kèm nữa. Quyết định gắn bó "Lifetime" với tino 😁
Dịch vụ tốt hỗ trợ nhanh chóng
Thích cách tư vấn tận tình và nhanh gọn của Tino mỗi khi có vấn đề trục trặc. Hosting ổn định, giá rẻ tốt lắm nhé mọi người
mình có mua 2 tên msiền của tino, mình rât thích cách tư vấn và chăm sóc khách hàng tại đây. Ngoài ra giá domain khá rẻ, phù hợp cho mọi người. 5 sao
Dịch vụ tốt, support nhiệt tình
tinohost tuyệt vời giá cả hợp lý
domain mua rất rẻ :))))
tốt, chất lượng, hostingok
Hosting tốt, giá cả cạnh tranh
Tuyệt vời , Hosting quá ổn
Chất lượng lắm ạ. Domain mua rẻ nhất thị trường
Dịch vụ tốt và chất lượng
Chất lượng lắm ạ. Domain mua rẻ nhất thị trường
Tino Host dùng quá ngon đi !💥💥💥💥💥
Tôi đã mua domain và hosting của các nhà cung cấp khác rồi, nhưng thực sự thấy không tốt bằng Tino, ngoài ra còn hỗ trợ rất tốt. Cảm ơn tino nhiều!
Next Reviews
CÔNG TY CỔ PHẦN TẬP ĐOÀN TINO
Trụ sở chính: L17-11, Tầng 17, Tòa nhà Vincom Center, Số 72 Lê Thánh Tôn,  Phường Bến Nghé, Q. 1, TP. Hồ Chí Minh

Văn phòng kinh doanh: Số 42 Trần Phú, Phường 4, Quận 5, TP HCM
GPKD số 0315679836 do Sở KH và ĐT TP Hồ Chí Minh cấp
Hotline: 0364 333 333
Góp ý/Phản ánh dịch vụ: 0933 000 886